2013年01月24日 08時00分 UPDATE
特集/連載

ロシアで30万台以上が集団感染検出不可? Javaの脆弱性を突く「ファイルなしボット」

ロシアで猛威をふるい、30万台以上の端末に感染したという「ファイルなしボット」。Javaの脆弱性を悪用する、ファイルなしボットの攻撃の手口を説明しよう。

[Robert Sheldon,TechTarget]

 Javaの脆弱性を突く、ファイルを持たないマルウェアに、ロシアのコンピュータが集団感染した。同種の攻撃がロシアだけで発生するとは限らず、Windowsマシンだけが標的になるとも限らない。

 仕組みは周知の通りだ。社内のエンドユーザーが感染サイトを閲覧し、知らないうちに最新型のマルウェアをダウンロードする。もしウイルス対策ソフトウェアがそれなりに機能していれば、ダウンロードを阻止するか、少なくともユーザーのHDDにある不正ファイルを検出、隔離してくれる。だがHDDに検出すべきファイルがなかったとしたら? もしもマルウェアがメモリだけに存在し、まさか破られるとは管理者もウイルス対策ソフトウェアもOSさえも思っていない、信頼すべきプロセスの下で実行されていたとしたら?

 2012年にロシアで発生したのは、まさにこうした事態だった。特異な種類のマルウェア、すなわちファイルを持たない「ファイルなしボット」に30万台以上のコンピュータが感染。このボット(インターネットを介して自動化されたタスクを実行できるソフトウェアロボット)は、誰にも邪魔されずに活動を続けた。

 数カ月たってロシアKaspersky Labが、珍しい種類のマルウェアがロシアのオンライン情報リソースを通じて増殖していると発表した。サードパーティー広告ネットワークのAdFoxからWebサイトへ配信した広告にJavaマルウェアが仕込まれており、サイバー犯罪集団が運営するダウンロード用サーバにブラウザのユーザーを誘導していた。

ファイルなしボットの仕組み

 ファイルなしボットは、以下の5つのステップで情報を盗み出す。

第1段階

 ユーザーが感染サイトを閲覧する。それ以外の動作は必要ない。ユーザーは、気付かないままサイバー犯罪者のサーバ(マスターサーバ)へリダイレクトされる。

第2段階

 マスターサーバが、暗号化されたDLLをユーザーのコンピュータのJavaプロセス(javaw.exe)に挿入する。javaw.exeは、マシンのメモリ内で実行される。また、このDLLは、Javaの周知の脆弱性を悪用する(これについては後述する)。

ITmedia マーケティング新着記事

news105.jpg

ITツールの利用効果に対する実感に世代間ギャップ――Dropbox Japan調査
国内企業における創造性とITツール利用に関する実態調査です。

news035.jpg

エードット×BIRDMAN デジタルクリエイティブ界の強力タッグが目指す「広告のいらない世界」
プロデュースカンパニーとして急成長中のエードットが総合クリエイティブプロダクション...

news092.jpg

10代女子に聞いたお年玉の使い道、「貯金」「推し活」が上位に――バイドゥ調べ
イマドキの女子はもらったお年玉をどう使っているのでしょうか。